RefRef: Angeblich weniger gefährlich als LOIC, zumindest für den Verwender

Anonymous bisheriges Tool der Wahl, etwa in der Operation Payback war das DDoS-Werkzeuge LOIC. Wie wir bereits im letzten Jahr hier bei t3n berichteten, hat LOIC eine entscheidende Schwachstelle. Diese besteht darin, die IP-Adresse des Requesters in hoher Zahl an die angegriffene Website weiter zu geben. Jedes von LOIC gesendete Paket enthält erneut die IP-Adresse des Teilnehmers. So konnten die Strafverfolgungsbehörden mit großer Sicherheit und ganz in Ruhe die Serverlogs auswerten und die Verwender identifizieren. Bekanntlich kam es in der Folge zu einer ganzen Reihe von Verhaftungen. Wer glaubte, er könne sich mit hanebüchenen Erklärungen á la “Da muss wohl ein Virus den LOIC installiert haben”, dem Zugriff entziehen, sah sich getäuscht.

Heute nun will Anonymous die nächste Generation der Website-Angriffe an den Start bringen. Ein in Perl, Python und Javascript geschriebenes Werkzeug namens RefRef soll wesentlich effektiver und kurzfristig nachhaltiger als LOIC arbeiten. Dabei ist das Risiko für den Verwender angeblich deutlich geringer.

RefRef nutzt eine MySQl-Funktionalität, um die Verarbeitungskapaitäten des Server zu erschöpfen

Vereinfacht ausgedrückt schlägt RefRef einen Server mit seinen eigenen Waffen. Indem es einen Serverrequest mit dem Einspielen einer JS-Datei verbindet, veranlasst RefRef den so angegriffenen Server das entsprechend präparierte Javascript zu verarbeiten. Dieses ist so strukturiert, dass es auf dem Server massiv Prozesse öffnet und diesen auf diese Weise zum vollständigen Verbrauch seiner Kapazitäten veranlasst. Ein 17-sekündiger Testangriff auf Pastebin, ausgeführt von einer einzelnen Maschine im Juli führte zu einem 42-minütigen Ausfall der Pastebin-Site und dem Appell der Pastebin-Admins, RefRef nie wieder an Pastebin zu testen.

Stellt man sich nun vor, ein Angriff wird gleichzeitig von mehreren Maschinen aus gestartet, so ist klar, dass der Effekt nachhaltiger sein kann. RefRef ist potenziell wesentlich effektiver als konventionelles DDoSsing, da ein Angriff pro Teilnehmer reicht und kein permanentes Request-Stakkato auf den Server erfolgen muss. Es ist gerade dieser Punkt, der das Risiko für den Verwender mindert. Immerhin wird seine IP-Adresse wohl immer noch übertragen, dies jedoch nicht hunderte oder tausende Male.

RefRef - Ein Spielzeug von und für Script Kiddies?

Kritiker des RefRef-Tools ordnen das Werkzeug eher der Kategorie “Script-Kiddie-Spielzeug” zu. Es sei nicht besonders intelligent, eine nur in einem bestimmten Server (MySQL) zu nutzende Lücke, die noch dazu bekannt und vielfach schon gepatcht sei, zur Basis öffentlicher Angriffsaktionen zu machen. So könne man zwar bei etlichen Admins für Überstunden am Wochenende sorgen. Spätestens in ein paar Tagen jedoch, wären sämtlich lohnenswerten Ziele durchgepatcht und RefRef liefe ins Leere.

Schlussendlich erreicht RefRef nicht tiefgreifend anderes als LOIC. Server werden temporär der öffentlichen Erreichbarkeit entzogen. Nachhaltige Effekte werden durch den Einsatz dieses DDoS-Tools nicht erzielt. In den USA wird DDoSsing schon als die neue Form der Sitzblockade bezeichnet. Beklagt wird dabei, dass die Strafen für Sitzblockaden wesentlich geringer als die Strafen für DDoSsing sind. Ich persönlich halte das für eine ziemlich romantische Sichtweise und sehe den Zusammenhang Sitzblockade real = DDos virtuell nicht als logisches Resultat kognitiver Informationsverarbeitung an.

Während ich diesen Beitrag schreibe, sollte RefRef bereits in öffentlicher Aktion sein. Davon ist bislang noch nichts zu sehen. Warten wir es also ab…